Gestión del riesgo para entidades financieras: buenas prácticas en el mundo real. Cuáles son los riesgos que existen hoy en día, cómo la correlación de eventos es un componente fundamental para poder controlar la seguridad de la información.
5. Valor de la
acción al
momento
del ataque
http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html
By Zacks Equity Research | Zacks Mon, Apr 2, 2012 5:07 PM EDT
MARZO, 2012: ataque compromete
información de 1.5 MM de tarjetas
El caso Global Payments
6. IBM X-Force Mid-year Trend and Risk Report – September 2011
“Hacker attack to cost
Sony $172
million, almost as
much as initial
Japanese earthquake
damage”
http://latimesblogs.latimes.com/ente
rtainmentnewsbuzz/2011/05/hacker-
attack-cost-sony-172-million.html
El caso Sony
7. IBM X-Force Mid-year Trend and Risk Report – September 2011
Hacker attack to cost
Sony $172
million, almost as
much as initial
Japanese earthquake
damage
http://latimesblogs.latimes.com/entertainm
entnewsbuzz/2011/05/hacker-attack-cost-
sony-172-million.htmlhttp://www.mykonossoftware.com/cost-of-an-attack.php
COSTO REAL DE UN ATAQUE
8. OBJETIVOS DE ATAQUE
PCI Compliance For
Dummies
Objetivos de
ataque
Objetivos de
ataque
Objetivos de
ataque
Objetivos de
ataque
9. MERCADO NEGRO DE LA INFORMACION
Fortinet 2013 Cybercrime Report
Cybercriminals Today Mirror
Legitimate Business Processes
18. Es cada vez más difícil decirle “NO” al usuario
Mi única esperanza
para ser productivo
es ingresar con mi
laptop personal
Ahora entregue el
celular no standard
que esconde en su
ropa interior.
CONSUMERIZACION
22. Para el CIO… Para el CEO…
Cuantos proyectos pospuso porque:
- Falta presupuesto
- Falta gente
- Falta infraestructura
Qué tan actualizado está el software?
Y los sistemas de protección?
Cómo provee soporte y gestión 7x24?
Cuánto se demora en reaccionar ante
un ataque? Puede detectarlo o
prevenirlo?
Cuántos eventos de seguridad analiza
por día para detectar ataques?
Cuánto se demoran los reportes de
compliance/seguridad?
Tiene un indicador/reporte del estado
actual de la seguridad? En tiempo
real?
Sabe qué están haciendo las
inversiones en seguridad aprobadas?
Cómo está su situación respecto a
normas internacionales?
Qué información posee que puede ser
blanco de ataques y cómo está
protegida?
PREGUNTAS INCOMODAS
23. METODOLOGIA DE AUTO-EVALUACION
Somos capaces de controlar?...
• Cambios de configuración
• Reportes holísticos
• Trazabilidad (a nivel de usuario)
• Tiempo de reacción ante incidentes
• Riesgos (a nivel de aplicación)
• Continuidad de negocio
• Más allá del perímetro
27. Perímetro, un concepto del pasado
Perimeter Security Fundamentals
By Lenny Zeltser, Karen Kent, Stephen Northcutt, Ronald W. Ritchey, Scott Winters
Apr 8, 2005
El concepto de seguridad
perimetral requiere:
1) Que exista un perímetro
claro y bien delimitado
2) Enfocar todos los
esfuerzos en proteger el
perímetro
3) El perímetro sería el único
punto a través del cual
pueden ingresar amenazas
a la red.
28. ESTRATEGIAS Y RECOMENDACIONES
Public Servers
(WEB / MAIL)
INTERNET Private
Network
Remote
Branches
(VPN)
Remote
Users
Local Users
Remote
Branches
(WAN)
Third-parties
(Clients /
Vendors)
Critical Servers (CRM / ERP)
• Web Application
Firewall ( WAF)
• Email Security
• Database Security
• Firewall
• IPS
• Antivirus
• Antispam
• Content filter
• Site to site VPN
• Client to site
VPN
• SSL VPN
• Firewall
• IPS
• Firewall
• IPS
• Site to site VPN
• Endpoint Security
• Autenticación fuerte
Web Applications
Penetration Test
Server
Penetration Test
Vulnerability
Assessments
ECOSISTEMA DE
SEGURIDAD
33. • Sin falsos positivos
• Análisis de riesgo en tiempo real
• Almacenamiento y consulta de logs
• Implementación inmediata
• Sin licencias, sin inversiones
• Prevención + detección
• Reportes en tiempo real, ejecutivos y
técnicos
• ISO 27001, PCI, FISMA, HIPAA
Columbus Full-Guard SIEM
Los trabajadoresmóvilestienen eldoble de riesgo de bajarunaamenaza.Sin embargo, la mayoría de los administradoresdicenque el temaestácontrolado; evidentemente hay un gap entre lo rápidoquecrece la mobilidad y la capacidad de controlar la información.
Mensaje: en todo el resto del mundo, excepto en LATAM, la seguridad ya dejó de ser el principalconcern para ir a la nube. Eso tiene que ver con que cuando los clientes experimentan el modelo se dan cuenta que eso de la seguridad en la nube es en gran parte un mito.La realidad es que cuando miramos lo que un cliente tiene actualmente en su infraestructura in-house, en la mayoría de los casos, su situación de seguridad es mucho peor que si estuviera en la nube.Esto es cierto para las nubes privadas, que es el modelo de Columbus. Nosotros no tenemos ningún servicio de nube pública. La ventaja de las nubes privadas es que el cliente puede elegir y diseñar a medida todos sus controles.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.